Firefox 中的 SSL 證書異常

Question

並提前感謝您的幫助或任何可以讓我離開這里的提示。

我使用 JBoss 服務器和 Apache 開發 Java EE 應用程序。 我對 SSL 連接和證書不是很熟悉，我了解基本的，但我必須處理它。 因此，在我的本地配置 ( localhost ) 上，我在 JBoss 和 Apache 上配置了我的連接證書，以及一個USER_DEV.P12文件，我將其導入到 Firefox 中的證書中。 我在遠程測試服務器 ( test-server ) 和USER_TEST.P12上有相同的配置，我也在 Firefox 中導入了它。

當我訪問https://localhost/或https://test-server/ Firefox 要求我添加一個例外，這是正常的。 之后，我選擇了合適的用戶證書，就可以正常使用我的應用程序了。 但是對於第二個（假設https://test-server/ ），Firefox 給我帶來了sec_error_reused_issuer_and_serial錯誤。 當然，我用谷歌搜索並創建了Mozilla 幫助，所以當我刪除證書管理器中的“服務器”時，我可以再次訪問我的第二個域，但第一個域出現同樣的問題。

為了縮短問題，我的 2 個客戶端/服務器證書對是可以的，但我不能在 Firefox 中同時為我的 2 個不同的服務器/用戶創建 2 個證書異常，即使名稱、服務器地址和 MD5 不同。 我通知序列號是相同的 (01)，但它在我同事的計算機上工作。 所以我做錯了什么嗎？ 我是否每次都必須手動處理它（或使用 Firefox 配置文件）？

Answer 1

這是因為您使用自簽名證書並使用相同的序列號。 你有幾個解決方案，

1. 使用相同的工具在同一台計算機上重新簽名證書。 大多數工具會提高每次簽名的序列號，您將獲得不同的序列號。

2. 制作您自己的CA並使用相同的CA簽署2個證書。 這樣Firefox只需要導入一個CA.

Answer 2

我在不同的情況下遇到相同的錯誤消息，但谷歌搜索錯誤消息引導我在這里。 我通過SSH連接將所需端口（80,443和5900）轉發到同一LAN上的另一台服務器，並在我的linux工作站上瀏覽localhost（https），從而訪問安裝在遠程設施的刀片服務器的IPMI遠程管理控制器。 這對我有用：

ssh -l root -L 80:192.168.0.90:80 -L 443:192.168.0.90:443 -L 5900:192.168.0.90:5900

但是當我嘗試訪問不同的遠程計算機時遇到“相同的序列號”錯誤。 我使用firefox，支持文檔描述了刪除違規證書的過程：

https://support.mozilla.org/en-US/kb/Certificate%20contains%20the%20same%20serial%20number%20as%20another%20certificate

這些說明適用於firefox的早期版本而不是我的版本，但即使找到證書存儲（preferences - advanced - certificates - ViewCertificates）並刪除127.0.0.1條目，關閉並重新打開瀏覽器，我仍然會收到錯誤。

對我來說唯一有用的是重命名我的主目錄中的一些文件夾，其中一些緩存的內容可能會延續：

mv .cache old.cache
mv .config old.config
mv .mozilla old.mozilla
mv .local old.local
mv .java old.java

在此之后，關閉/重新打開瀏覽器，我能夠輸入新的安全例外來瀏覽localhost。 這當然是一個相當“鈍器”的解決方案，它除了有問題的延遲證書之外還刪除了許多東西，但我可以稍后將其全部放回（刪除新生成的文件夾之后）。 我可能會嘗試縮小重命名的范圍，“。mozilla”將是我的第一個猜測。

Answer 3

在 Windows 上，我發現刪除 C:\\Users[myuser]\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles[myprofile] 中的 cert*.db 文件

解決了這個問題。 我不知道這是否有任何連鎖反應，因為 Firefox 不是我的主要瀏覽器，我只需要調試一些在 Firefox 中不起作用的東西。